Android加密之全盘加密详解

最新推荐文章于 2024-05-17 08:57:57 发布
最新推荐文章于 2024-05-17 08:57:57 发布
阅读量4.3k 收藏 1
点赞数
分类专栏: 新能源车联网 Android源码分析 文章标签: android
原文链接:https://www.zhangshengrong.com/p/l51gwGQ710/
版权

前言

Android 的安全性问题一直备受关注,Google 在 Android 系统的安全方面也是一直没有停止过更新,努力做到更加安全的手机移动操作系统。

在 Android 的安全性方面,有很多模块:

1 内核安全性
2 应用安全性
3 应用签名
4 身份验证
5 Trusty TEE
6 SELinux
7 加密
等等

其中,加密又分全盘加密(Android 4.4 引入)和文件级加密(Android 7.0 引入),本文将论述加密中的全盘加密的基本知识。全盘加密在 Android 4.4 中引入,在 Android 5.0 中做了比较大的更新。

本文部分片段摘自 Android 官网,融合笔者的个人理解和知识。

什么是全盘加密

全盘加密是使用已加密的密钥对 Android 设备上的所有用户数据进行编码的过程。设备经过加密后,所有由用户创建的数据在写入磁盘之前都会自动加密,并且所有读取操作都会在将数据返回给调用进程之前自动解密数据。

Android 5.0 中又引入了以下新功能:

创建了快速加密方式,这种加密方式只会对数据分区中已使用的分块进行加密,以免首次启动用时过长。目前只有 EXT4 和 F2FS 文件系统支持快速加密。

添加了 forceencrypt fstab 标记,以便在首次启动时进行加密。

添加了对解锁图案和无密码加密的支持。

添加了由硬件支持的加密密钥存储空间,该空间使用可信执行环境(TEE,例如 TrustZone)的签名功能。

全盘加密运作方式

Android 全盘加密基于在块设备层运行的内核功能 dm-crypt。因此,这种加密方式适用于以块设备的形式呈现给内核的嵌入式多媒体卡 (eMMC) 和类似闪存设备。YAFFS 会直接与原始 NAND 闪存芯片交互,无法进行全盘加密。

全盘加密采用的是 128 位高级加密标准 (AES) 算法(搭配密码块链接 (CBC) 和 ESSIV:SHA256)。对主密钥进行加密时使用的是 128 位 AES 算法,并会调用 OpenSSL 库。对于该密钥,您必须使用 128 位或更多位(可以选择 256 位)。

Android 5.0 版中有以下 4 种加密状态:

默认
PIN 码
密码
解锁图案

 

首次启动时,设备会创建一个随机生成的 128 位主密钥,然后会使用默认密码和存储的盐对其进行哈希处理。默认密码是“default_password”。不过,设备还会通过 TEE(例如 TrustZone)为生成的哈希签名。TEE 会使用相应签名的哈希来加密主密钥。

您可以在 Android 开放源代码项目 cryptfs.c 文件中找到定义的默认密码。

当用户在设备上设置 PIN 码/通行码或密码时,只有 128 位的密钥会被重新加密并存储起来(也就是说,更改用户 PIN 码/通行码/解锁图案不会导致重新加密用户数据)。请注意,受管理的设备可能受 PIN 码、解锁图案或密码限制。

加密操作由 init 和 vold 管理。 init 负责调用 vold,然后 vold 会设置相关属性以触发 init 中的事件。系统的其他部分也会查看这些属性以执行各项任务,例如报告状态、提示输入密码,或有严重错误发生时提示恢复出厂设置。为了调用 vold 中的加密功能,系统会使用命令行工具 vdc 的 cryptfs 命令:checkpw、restart、enablecrypto、changepw、cryptocomplete、verifypw、setfield、getfield、mountdefaultencrypted、getpwtype、getpw 以及 clearpw。

要加密、解密或清空 /data,/data 不得处于装载状态。但要显示任何界面,框架都必须启动,而框架需要 /data 才能运行。为了解决这一冲突,/data 上会装载一个临时文件系统。通过该文件系统,Android 可以提示输入密码、显示进度或根据需要建议清除数据。不过,该文件系统会带来以下限制:要从临时文件系统切换到实际的 /data 文件系统,系统必须停止临时文件系统中打开了文件的所有进程,并在实际的 /data 文件系统中重启这些进程。为此,所有服务都必须位于以下其中一个组内:core、main 和 late_start。

core:启动后一直不会关闭。

main:关闭,然后在用户输入磁盘密码后会重启。

late_start:在 /data 未解密并装载之前,一直不会启动。

为了触发这些操作,vold.decrypt 属性会被设为多种字符串。要结束和重启服务,请使用以下 init 命令:

class_reset:停止相应服务,但允许通过 class_start 重启该服务。

class_start:重启相应服务。

class_stop:停止相应服务并添加 SVC_DISABLED 标记。被停止的服务不会对。

class_start 做出响应。

加密流程和启动流程

使用 forceencrypt 加密新设备

这是 Android 5.0 设备首次启动时的常规流程。

检测带有 forceencrypt 标记的未加密文件系统

/data 未加密,但需要加密,因为 forceencrypt 强制要求进行此项加密。卸载 /data。

开始加密 /data

vold.decrypt = “trigger_encryption” 会触发 init.rc,从而使 vold 对 /data 进行无密码加密。(因为这应该是新设备,还没有设置密码。)

装载 tmpfs

vold 会装载一个 tmpfs /data(使用 ro.crypto.tmpfs_options 中的 tmpfs 选项),并会将 vold.encrypt_progress 属性设为 0。 vold 会准备 tmpfs /data 以便启动已加密的系统,并会将 vold.decrypt 属性设为 trigger_restart_min_framework

启动框架以显示进度

由于设备上几乎没有要加密的数据,加密过程很快就会完成,因此实际上通常并不会显示进度条。如需关于进度界面的更多详细信息,请参阅加密现有设备。

/data 加密后,关闭框架

vold 会将 vold.decrypt 设为 trigger_default_encryption,这会启动 defaultcrypto 服务。(这会启动以下流程来装载默认的已加密用户数据。)trigger_default_encryption 会检查加密类型,以了解 /data 加密是否使用了密码。由于 Android 5.0 设备是在首次启动时加密,应该没有设置任何密码,因此我们要解密并装载 /data。

装载 /data

接下来,init 会使用从 ro.crypto.tmpfs_options(在 init.rc 中设置)中选取的参数在 tmpfs RAMDisk 中装载 /data。

启动框架

将 vold 设为 trigger_restart_framework,这会继续常规启动过程。

启动未进行默认加密的已加密设备

当您启动设有密码的已加密设备时,则会发生该流程。设备的密码可以是 PIN 码、解锁图案或密码。

检测设有密码的已加密设备

会发现 Android 设备已加密,因为设置了 ro.crypto.state = “encrypted” 标记

由于 /data 是使用密码加密的,因此 vold 会将 vold.decrypt 设为 trigger_restart_min_framework。

装载 tmpfs

init 会设置 5 个属性,以保存为 /data(包含从 init.rc 传入的参数)提供的初始装载选项。 vold 会使用这些属性来设置加密映射:

ro.crypto.fs_type 
ro.crypto.fs_real_blkdev 
ro.crypto.fs_mnt_point 
ro.crypto.fs_options 
ro.crypto.fs_flags (ASCII 码 8 位十六进制数字,以 0x 开头)

启动框架以提示输入密码

框架会启动并看到 vold.decrypt 已设为 trigger_restart_min_framework。这让框架知道自己是在 tmpfs /data 磁盘中启动的,并且需要获取用户密码。

不过,它首先需要确认磁盘是否已经过适当加密。它会向 vold 发送 cryptfs cryptocomplete 命令。 如果加密已成功完成,vold 会返回 0;如果发生内部错误,则会返回 -1;如果加密未成功完成,则会返回 -2。vold 通过查看 CRYPTO_ENCRYPTION_IN_PROGRESS 标记的加密元数据来确定应返回的值。如果设置了此标记,则表示加密过程中断了,并且设备上没有可用的数据。如果 vold 返回错误,界面中应显示一条消息,提示用户重新启动设备并将其恢复出厂设置,并且界面中应为用户提供一个用于执行该操作的按钮。

通过密码解密数据

cryptfs cryptocomplete 成功后,框架会显示一个界面,提示用户输入磁盘密码。界面会向 vold 发送 cryptfs checkpw 命令来检查用户输入的密码。如果密码正确(通过以下方式判定:在临时位置成功装载已解密的 /data,然后将其卸载),vold 会将已解密块设备的名称保存在 ro.crypto.fs_crypto_blkdev 属性中,并向界面返回状态 0。如果密码不正确,则向界面返回 -1。

停止框架

界面会显示加密启动图形,然后使用 cryptfs restart 命令调用 vold。vold 会将 vold.decrypt 属性设为 trigger_reset_main,这会使 init.rc 执行 class_reset main 命令。此命令会停止 main 类中的所有服务,以便卸载 tmpfs /data。

装载 /data

然后,vold 会装载已解密的实际 /data 分区,并准备新的分区(如果加密时采用了首次发布不支持的数据清除选项,则可能永远无法准备就绪)。它会将 vold.post_fs_data_done 属性设为 0,接着将 vold.decrypt 设为 trigger_post_fs_data。这会使 init.rc 运行其 post-fs-data 命令。这些命令会创建所有必要的目录或链接,然后将 vold.post_fs_data_done 设为 1。当 vold 看到该属性中的 1 时,会将 vold.decrypt 属性设为 trigger_restart_framework。这会使 init.rc 再次启动 main 类中的服务,并启动 late_start 类中的服务(这是设备启动后首次启动这些服务)。

启动整个框架

现在,框架会使用已解密的 /data 文件系统启动其所有服务,接下来系统就可以使用了。

代码解读

结合上章节的流程,下面用代码来解析启动未进行默认加密的已加密设备这个流程。

 

  1. # Android fstab file.
  2. #<src> <mnt_point> <type>
  3. ......
  4. /dev/block/platform/soc.0/f9824900.sdhci/by-name/userdata /data ext4 noatime,nosuid,nodev,barrier=1,data=ordered,nomblk_io_submit,noauto_da_alloc,errors=panic wait,check,fileencryption
  5. ......
  6. defaults
 

这个配置定义在 device/lge/bullhead/fstab_fbe.bullhead 文件中。
 

如上面的代码,在 /data 的末尾加上 fileencryption,便会进行全盘加密。
 

步骤1:检测设有密码的已加密设备
 

 

  1. //设置ro.crypto.state标记,手机已被用户加密
  2. static int do_mount_all(const std::vector<std::string>& args) {
  3. ......
  4. if (ret == FS_MGR_MNTALL_DEV_NEEDS_ENCRYPTION) {
  5. ActionManager::GetInstance().QueueEventTrigger("encrypt");
  6. } else if (ret == FS_MGR_MNTALL_DEV_MIGHT_BE_ENCRYPTED) {
  7. // 全盘加密,ro.crypto.state = encrypted, ro.crypto.type = block
  8. property_set("ro.crypto.state", "encrypted");
  9. property_set("ro.crypto.type", "block");
  10. //发送vdc 命令 defaultcrypto
  11. ActionManager::GetInstance().QueueEventTrigger("defaultcrypto");
  12. ......
  13. } else if (ret == FS_MGR_MNTALL_DEV_FILE_ENCRYPTED) {
  14. if (e4crypt_install_keyring()) {
  15. return -1;
  16. }
  17. property_set("ro.crypto.state", "encrypted");
  18. property_set("ro.crypto.type", "file");
  19. ......
  21. return ret;
  22. }
 

这个方法定义在文件 system/core/init/builtins.cpp 中。
 

 

  1. # One shot invocation to deal with encrypted volume.
  2. # do_mount_all 中写入命令 defaultcrypto,执行 vdc 发送命令 mountdefaultencrypted
  3. on defaultcrypto
  4. exec - root -- /system/bin/vdc --wait cryptfs mountdefaultencrypted
  5. # vold will set vold.decrypt to trigger_restart_framework (default
  6. # encryption) or trigger_restart_min_framework (other encryption)
  8. # One shot invocation to encrypt unencrypted volumes
  9. on encrypt
  10. start surfaceflinger
  11. exec - root -- /system/bin/vdc --wait cryptfs enablecrypto inplace default noui
  12. # vold will set vold.decrypt to trigger_restart_framework (default
  13. # encryption)
 

这个服务定义在文件 system/vold/vdc.rc 中。
 

 

  1. int CryptCommandListener::CryptfsCmd::runCommand(SocketClient *cli,
  2. int argc, char **argv) {
  3. ......
  4. } else if (subcommand == "mountdefaultencrypted") {
  5. ......
  6. //执行cryptfs_mount_default_encrypted
  7. std::thread(&cryptfs_mount_default_encrypted).detach();
  8. }
  9. ......
  10. }
 

这个方法定义在文件 vold/CryptCommandListener.cpp 中。
 

 

  1. int cryptfs_mount_default_encrypted(void)
  2. {
  3. int crypt_type = cryptfs_get_password_type();
  4. ......
  5. } else if (crypt_type != CRYPT_TYPE_DEFAULT) {
  6. SLOGD("Password is not default - "
  7. "starting min framework to prompt");
  8. //不是默认加密, 设置 vold.decrypt = trigger_restart_min_framework
  9. property_set("vold.decrypt", "trigger_restart_min_framework");
  10. return 0;
  11. } else if (cryptfs_check_passwd(DEFAULT_PASSWORD) == 0) {
  12. ......
 

这个方法定义在文件 system/vold/cryptfs.c 中。
 

 

  1. #属性vold.decrypt==trigger_restart_min_framework 时执行
  2. on property:vold.decrypt=trigger_restart_min_framework
  3. # A/B update verifier that marks a successful boot.
  4. exec - root -- /system/bin/update_verifier trigger_restart_min_framework
  5. class_start main
 

这个服务定义在服务 system/core/rootdir/init.rc 中。
 

class_start main 可知重启 main 类别的服务。main 类别的服务包括:
 

 

会重启 zygote。
 

步骤2:装载 tmpfs
 

Zygote 启动后,会 fork() system_process 进程,就是运行 SystemServer 代码了。但是 system_process 的运行需要正常的用户空间(/data),所以,需要临时挂载 tmpfs 分区,这个分区是在内存里分配的临时空间。
 

 

  1. int CommandListener::StorageCmd::runCommand(SocketClient *cli,
  2. int argc, char **argv) {
  3. ......
  4. if (!strcmp(argv[1], "mountall")) {
  5. if (argc != 2) {
  6. cli->sendMsg(ResponseCode::CommandSyntaxError, "Usage: mountall", false);
  7. return 0;
  8. }
  9. // 挂载所有设备
  10. fs_mgr_mount_all(fstab);
  11. cli->sendMsg(ResponseCode::CommandOkay, "Mountall ran successfully", false);
  12. return 0;
  13. }
 

这个方法定义在文件 system/vold/CommandListener.cpp 中。
 

 

  1. int fs_mgr_mount_all(struct fstab *fstab)
  2. {
  3. ......
  4. /* mount(2) returned an error, handle the encryptable/formattable case */
  5. bool wiped = partition_wiped(fstab->recs[top_idx].blk_device);
  6. //挂载 tmpfs 临时分区
  7. if (fs_mgr_do_tmpfs_mount(fstab->recs[attempted_idx].mount_point) < 0) {
  8. ++error_count;
  9. continue;
  10. }
  11. //全盘加密
  12. encryptable = FS_MGR_MNTALL_DEV_MIGHT_BE_ENCRYPTED;
  13. ......
  14. }
 

这个方法定义在文件 system/core/fs_mgr/fs_mgr.c 中。
 

步骤3:启动框架以提示输入密码
 

 

  1. private void startBootstrapServices() {
  2. // Only run "core" apps if we're encrypting the device.
  3. //启动min-framework 显示密码输入界面,仅启动 coreApp, 在AndroidManifest.xml中声明。
  4. //此时启动的 APP 在 tmpfs 临时分区,所以,所有app都是原始安装状态,不包含任何用户使用产生的数据。
  5. String cryptState = SystemProperties.get("vold.decrypt");
  6. if (ENCRYPTING_STATE.equals(cryptState)) {
  7. Slog.w(TAG, "Detected encryption in progress - only parsing core apps");
  8. mOnlyCore = true;
  9. } else if (ENCRYPTED_STATE.equals(cryptState)) {
  10. Slog.w(TAG, "Device encrypted - only parsing core apps");
  11. mOnlyCore = true;
  12. }
  13. ......
  14. mPackageManagerService = PackageManagerService.main(mSystemContext, installer,
  15. mFactoryTestMode != FactoryTest.FACTORY_TEST_OFF, mOnlyCore);
  16. ......
  18. }
 

这个方法定义在文件frameworks/base/services/java/com/android/server/SystemServer.java 中。
 

 

  1. private PackageParser.Package scanPackageLI(File scanFile, int parseFlags, int scanFlags,
  2. long currentTime, UserHandle user) throws PackageManagerException {
  3. if (DEBUG_INSTALL) Slog.d(TAG, "Parsing: " + scanFile);
  4. PackageParser pp = new PackageParser();
  5. pp.setSeparateProcesses(mSeparateProcesses);
  6. // 设置仅解析 core app only,
  7. pp.setOnlyCoreApps(mOnlyCore);
  8. .....
  9. }
 

这个方法定义在文件 frameworks/base/services/core/java/com/android/server/pm/PackageManagerService.java 中
 

 

  1. private Package parseClusterPackage(File packageDir, int flags) throws PackageParserException {
  2. final PackageLite lite = parseClusterPackageLite(packageDir, 0);
  4. // 如果不是 !lite.coreApp, 跳过该 app,即启动时,不会安装该app
  5. if (mOnlyCoreApps && !lite.coreApp) {
  6. throw new PackageParserException(INSTALL_PARSE_FAILED_MANIFEST_MALFORMED,
  7. "Not a coreApp: " + packageDir);
  8. }
 

这个方法定义在文件 frameworks/base/core/java/android/content/pm/PackageParser.java 中。
 

安卓中定义为 coreApp 的应用有:
 

 

 

Framework-res.apk 的 manifest 配置文件如下:
 

 
 

 

步骤4:通过密码解密数据
 

这个过程不再阐述。
 

步骤5:停止框架
 

  1. #重启 main 类别服务
  2. on property:vold.decrypt=trigger_reset_main
  3. class_reset main
 

这个 setion 定义在文件 system/core/rootdir/init.rc 中。
 

步骤6:装载 /data
 

  1. static int do_mount_all(const std::vector<std::string>& args) {
  2. pid_t pid;
  3. .....
  4. //
  5. if (ret == FS_MGR_MNTALL_DEV_NEEDS_ENCRYPTION) {
  6. // 发送 encrypt 事件到 vdc
  7. ActionManager::GetInstance().QueueEventTrigger("encrypt");
  8. } else if
  9. .....
  10. }
 

这个方法定义在文件 system/core/init/builtins.cpp 中。
 

 

  1. on encrypt
  2. start surfaceflinger
  3. exec - root -- /system/bin/vdc --wait cryptfs enablecrypto inplace default noui
  4. # vold will set vold.decrypt to trigger_restart_framework (default
  5. # encryption)
 

这个 setion 定义在文件 system/vold/vdc.rc 中。
 

 

  1. on encrypt
  2. start surfaceflinger
  3. #发送命令 enablecrypto 到 vold
  4. exec - root -- /system/bin/vdc --wait cryptfs enablecrypto inplace default noui
  5. # vold will set vold.decrypt to trigger_restart_framework (default
  6. # encryption)
 

这个 setion 定义在文件 system/vold/vdc.rc 中。
 

 

  1. int CryptCommandListener::CryptfsCmd::runCommand(SocketClient *cli,
  2. int argc, char **argv) {
  3. } else if (subcommand == "cryptocomplete") {
  4. if (!check_argc(cli, subcommand, argc, 2, "")) return 0;
  5. dumpArgs(argc, argv, -1);
  6. rc = cryptfs_crypto_complete();
  7. // 命令是 enablecrypto
  8. } else if (subcommand == "enablecrypto") {
  9. .....
  11. // Spawn as thread so init can issue commands back to vold without
  12. // causing deadlock, usually as a result of prep_data_fs.
  13. char* arg2 = argc > 2 ? strdup(argv[2]) : NULL;
  14. char* arg4 = argc > 4 ? strdup(argv[4]) : NULL;
  15. // 执行 do_enablecrypto 方法
  16. std::thread(&do_enablecrypto, arg2, arg4, type, no_ui).detach();
  17. }
 

这个方法定义在文件 system/vold/CryptCommandListener.cpp 中。
 

 

  1. static int do_enablecrypto(char* arg2, char* arg4, int type, bool no_ui) {
  2. int rc;
  3. int tries;
  4. for (tries = 0; tries < 2; ++tries) {
  5. // 不是默认加密,运行方法 cryptfs_enable()
  6. if (type == CRYPT_TYPE_DEFAULT) {
  7. rc = cryptfs_enable_default(arg2, no_ui);
  8. } else {
  9. rc = cryptfs_enable(arg2, type, arg4, no_ui);
  10. }
  11. .....
  12. return -1;
  13. }
 

这个方法定义在文件 system/vold/CryptCommandListener.cpp 中。
 

 

  1. int cryptfs_enable(char *howarg, int type, char *passwd, int no_ui)
  2. {
  3. return cryptfs_enable_internal(howarg, type, passwd, no_ui);
  4. }
 

这个方法定义在文件 system/vold/cryptfs.c 中。
 

 

  1. int cryptfs_enable_internal(char *howarg, int crypt_type, char *passwd,
  2. int no_ui)
  3. {
  4. /* restart the framework. */
  5. /* Create necessary paths on /data */
  6. if (prep_data_fs()) {
  7. goto error_shutting_down;
  8. }
  9. }
 

这个方法定义在文件 system/vold/cryptfs.c 中。
 

 

  1. static int prep_data_fs(void)
  2. {
  3. property_set("vold.post_fs_data_done", "0");
  4. // 设置 vold.decrypt = trigger_post_fs_data,触发 init.rc
  5. property_set("vold.decrypt", "trigger_post_fs_data");
  6. SLOGD("Just triggered post_fs_data\n");
  8. /* Wait a max of 50 seconds, hopefully it takes much less */
  9. for (i=0; i<DATA_PREP_TIMEOUT; i++) {
  10. char p[PROPERTY_VALUE_MAX];
  11. // 等待 init 设置 vold.post_fs_data_done = 1
  12. property_get("vold.post_fs_data_done", p, "0");
  13. if (*p == '1') {
  14. break;
  15. } else {
  16. usleep(50000);
  17. }
  18. }
  19. }
 

这个方法定义在文件 system/vold/cryptfs.c 中。
 

 
 
on property:vold.decrypt=trigger_post_fs_data
 trigger post-fs-data
 

 

这个 setion 定义在文件 system/core/rootdir/init.rc 中。
 

 

  1. #创建/data 子目录和链接,启动服务
  2. on post-fs-data
  3. # We chown/chmod /data again so because mount is run as root + defaults
  4. chown system system /data
  5. chmod 0771 /data
  6. # We restorecon /data in case the userdata partition has been reset.
  7. restorecon /data
  9. # start debuggerd to make debugging early-boot crashes easier.
  10. start debuggerd
  11. start debuggerd64
  13. #task4597305 added by xiwu.peng to output logcat to uart
  14. start logcat2uart
  16. # Make sure we have the device encryption key.
  17. start vold
  18. installkey /data
  20. # Start bootcharting as soon as possible after the data partition is
  21. # mounted to collect more data.
  22. mkdir /data/bootchart 0755 shell shell
  23. bootchart_init
  25. .....
  27. mkdir /data/system_de 0770 system system
  28. mkdir /data/system_ce 0770 system system
  30. mkdir /data/misc_de 01771 system misc
  31. mkdir /data/misc_ce 01771 system misc
  33. mkdir /data/user 0711 system system
  34. mkdir /data/user_de 0711 system system
  35. symlink /data/data /data/user/0
  37. mkdir /data/media 0770 media_rw media_rw
  38. mkdir /data/media/obb 0770 media_rw media_rw
  40. init_user0
  41. # If there is no fs-post-data action in the init.<device>.rc file, you
  42. # must uncomment this line, otherwise encrypted filesystems
  43. # won't work.
  44. # Set indication (checked by vold) that we have finished this action
  45. #setprop vold.post_fs_data_done 1
 

这个 setion 定义在文件 system/core/rootdir/init.rc 中。
 

 

  1. static int cryptfs_restart_internal(int restart_main)
  2. {
  3. // init 做完 post-fs-data,继续往下执行代码
  4. if (prep_data_fs()) {
  5. return -1;
  6. }
  7. //init 做完 post-fs-data, vold 将 vold.decrypt 设为 trigger_restart_framework, 触发init
  8. /* startup service classes main and late_start */
  9. property_set("vold.decrypt", "trigger_restart_framework");
  10. }
 

这个方法定义在文件 system/vold/cryptfs.c 中。
 

 

  1. #重启所有服务
  2. on property:vold.decrypt=trigger_restart_framework
  3. # A/B update verifier that marks a successful boot.
  4. exec - root -- /system/bin/update_verifier trigger_restart_framework
  5. class_start main
  6. class_start late_start
 

步骤7:启动整个框架
 

vold.decrypt = trigger_restart_framework, framework 就可以正常启动了。
 

加密属性
 

vold 和 init 之间通过设置属性进行通信。下面列出了可用的加密属性。
 

vold 属性
 

属性 说明
 

vold.decrypt trigger_encryption 以无密码方式加密存储卷。
 

vold.decrypt trigger_default_encryption 检查存储卷是否采用了无密码加密。如果是,则解密并装载存储卷;如果不是,则将 vold.decrypt 设为 trigger_restart_min_framework。
 

vold.decrypt trigger_reset_main 由 vold 设置,用于关闭提示输入磁盘密码的界面。

                

        

        

    




    

      

        

            

              
                
                  LVXIANGAN
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    1
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
Android启动过程深入解析

				
			

			

				

					u010783226的专栏
				

				

					04-15
					
					1517
					
				

			

		

		

			
				
当按下Android设备电源键时究竟发生了什么?
	Android的启动过程是怎么样的?
	什么是Linux内核?
	桌面系统linux内核与Android系统linux内核有什么区别?
	什么是引导装载程序?
	什么是Zygote?
	什么是X86以及ARM linux?
	什么是init.rc?
	什么是系统服务?
当我们想到Android启动过程时,脑海中总是冒出很多疑问。本文将介绍Android的启动过程,希望能帮助你找到上面这些问题的答案。

Android是一个基于Linux的开源操作系统。x8

			
		

	



                

              
                



	

		

			

				
					
android学习笔记--android启动过程之init.rc文件浅析

				
			

			

				

					weixin_33721427的博客
				

				

					08-08
					
					196
					
				

			

		

		

			
				
2019独角兽企业重金招聘Python工程师标准>>>   
                                        
         ...

			
		

	



                


  
              

                


	

		

			

				
					
2024年最新Android AES 加密、解密(1),三面蚂蚁核心金融部

					
最新发布

				
			

			

				

					2401_84520215的博客
				

				

					05-17
					
					736
					
				

			

		

		

			
				
网上高级工程师面试相关文章鱼龙混杂,要么一堆内容,要么内容质量太浅, 鉴于此我整理了上述安卓开发高级工程师面试题以及答案。希望帮助大家顺利进阶为高级工程师。目前我就职于某大厂安卓高级工程师职位,在当下大环境下也想为安卓工程师出一份力,通过我的技术经验整理了面试经常问的题,答案部分是一篇文章或者几篇文章,都是我认真看过并且觉得不错才整理出来。大家知道高级工程师不会像刚入门那样被问的问题一句话两句话就能表述清楚,所以我通过过滤好文章来帮助大家理解。现在都说互联网寒冬,其实只要自身技术能力够强,咱们就不怕。

			
		

	





	

		

			

				
					
Android init.rc记录

				
			

			

				

					tq501501的博客
				

				

					06-26
					
					1073
					
				

			

		

		

			
				
一、init.rc 文件中相关启动顺序

系统正常开机时

on early-init
	on init
	on early-fs
	on fs
	on post-fs
	on post-fs-data //data 分区已挂载
	on early-boot
	on boot
恢复出厂设置启动顺序

on property:vold.decrypt=trigger_shutdown_framework
on property:vold.decrypt=trigger_restart_min_framewo.

			
		

	



		

			
		



	

		

			

				
					
Magisk内部实现原理

				
			

			

				

					zhonglunshun的专栏
				

				

					01-29
					
					6918
					
				

			

		

		

			
				
Android10以后,Android系统限制了System分区的修改,结果就是,即使你i是自己编译的Android系统,即使是有做高的root权限,你依然无法挂载System分区并对其内容进行修改,尽管网上有各种帖子说可以使用,但这并没有解决开发者的实际问题。这意味着传统的万能root出现局限性,为了解决这个问题Magisk的作者在确认了这一问题,并导致该问题的原因是谷歌在Android10以后引入了EXT4 共享块,而这个共享块和其他分区的区别在于根本没有可用空间的概念,所以也就没办法挂在为可读写。

			
		

	





	

		

			

				
					
android10.0的init执行顺序

				
			

			

				

					baron-周贺贺-代码改变世界ctw
				

				

					03-12
					
					3733
					
				

			

		

		

			
				
on early-init
on init
on late-init
	on early-fs
	on fs
	on post-fs
	on late-fs
		class_start early_hal
	on post-fs-data
	load_persist_props_action
	zygote-start
	firmware_mounts_complete
	on early-boo...

			
		

	





	

		

			

				
					
文件加密技术

				
			

			

				

					07-28
				

			

		

		

			
				
1. **全盘加密**:不仅可以加密单个文件或文件夹,还能对整个硬盘进行加密。 2. **支持多种设备**:适用于各种USB闪存驱动器和内部硬盘。 3. **集成度高**:作为Windows 7系统的内置功能,用户可以直接在操作系统中...

			
		

	





	

		

			

				
					
文件加密或者磁盘加密工具

				
			

			

				

					02-19
				

			

		

		

			
				
TrueCrypt就是一款知名的磁盘加密工具,它支持创建加密的虚拟硬盘,并提供了全盘加密功能。  3. TrueCrypt详解:  - 创建加密卷:TrueCrypt允许用户创建一个加密的虚拟容器(即加密卷),这个容器就像一个普通的磁盘...

			
		

	





	

		

			

				
					
互普威盾IP-guard VPlus加密用户使用培训

				
			

			

				

					12-20
				

			

		

		

			
				
### 互普威盾IP-guard VPlus加密用户使用培训知识点详解  #### 一、IP-guard文档加密系统概览  **1.1 加密系统特点** - **加密算法**: IP-guard采用了高强度加密算法来确保文档的安全性。 - **透明加密**: 用户在...

			
		

	





	

		

			

				
					
Android 手机开机问题分析流程

				
			

			

				

					程序员Android
				

				

					07-12
					
					1511
					
				

			

		

		

			
				
极力推荐文章:欢迎收藏Android 干货分享本篇文章主要介绍Android开发中的部分知识点,通过阅读本篇文章,您将收获以下内容:一、 如何抓取开机问题Log一、...

			
		

	





	

		

			

				
					
在开机阶段创建文件夹不成功

				
			

			

				

					zhoumin090508的专栏
				

				

					10-14
					
					2029
					
				

			

		

		

			
				
xx项目双摄倾斜度校验功能需要在开机阶段创建/mnt/vendor/persist/camera目录,但一直创建不成功

解决过程:

1.在init.project.rc中on post-fs-data这个阶段增加这一行:mkdir /mnt/vendor/persist/camera 0744 cameraserver cameraserver

编译vendorimage,将out目录中的vendor/etc/init/hw/init.project.rc push到手机里开机依然没有在/mnt/ve

			
		

	





	

		

			

				
					
分区表修改和分区挂载流

				
			

			

				

					qq_37919672的博客
				

				

					10-21
					
					1519
					
				

			

		

		

			
				
分区表修改和分区挂载流程总结
项目:  MTK平台项目
二、分区的挂载
首先介绍fstab文件,这个文件描述系统中各种文件系统的信息,在这个文件中,每个文件系统用一行来描述,在每一行中,用空格或TAB符号来分隔各个字段,文件中以#开头的行是注释信息。Fstab文件中的纪录的排序十分重要。因为fsck,mount或umount等程序在做它们的工作时会按此顺序进行。
首先来看该文件中每个字段的定义。
         <fs_mgr_flags>
product /product _MTK_VNDI

			
		

	





	

		

			

				
					
magisk简易制作教程

					
热门推荐

				
			

			

				

					玲曦的博客
				

				

					04-13
					
					2万+
					
				

			

		

		

			
				
本文选自https://www.coolapk.com/feed/7927200
如果你只是想修改 Build.prop/替换部分系统文件,却苦于找不到适合的 Magisk 模块,你可以尝试自己动手制作一个。这看起来是非常高端的操作,其实只是考验你是不是真正的机佬#(微微一笑)
注意:编辑文件请使用高级文本编辑器(不是记事本之流),例如 Notepad++、Sublime Text 等

下载 M...

			
		

	





	

		

			

				
					
Android init源代码分析(2)init.rc解析

				
			

			

				

					Prife的专栏
				

				

					12-06
					
					5113
					
				

			

		

		

			
				
本文描述init.rc脚本解析以及执行过程,读完本章后,读者应能



(1) 了解init.rc解析过程

(2) 定制init.rc













init.rc介绍 

init.rc是一个文本文件,可认为它是Android系统启动脚本。init.rc文件中定义了环境变量配置、系统进程启动,分区挂载,属性配置等诸多内容。init.rc具

			
		

	





	

		

			

				
					
[Android6.0] 启动流程分析(从开机到第一个程序)

				
			

			

				

					Younix凌乱的草稿本
				

				

					12-14
					
					9882
					
				

			

		

		

			
				
概述
BootROM
Bootloader 引导程序
Linux 内核
init 进程
关键路径
作用
细节
Zygote 创建与启动应用
Zygote 是什么
Zygote 创建
启动应用
引导结束
概述总得来看有这样几个阶段: 
1. BootROM 上电 
2. BootLoader 引导 
3. Linux 内核 
4. init 进程 
5. Zygote 启动板子上电后运行固化在 ROM

			
		

	





	

		

			

				
					
Android7.0 init.rc流程分析

				
			

			

				

					kc58236582的博客
				

				

					01-22
					
					4480
					
				

			

		

		

			
				
在http://blog.csdn.net/kc58236582/article/details/52247547这篇博客中,我们分析了init进程的流程,现在我们结合代码主要分析init.rc脚本的流程。

 

首先我们会加载原生的init.rc,然后我们自己的一些内容放在自己的init.rc中。然后会在原生的init.rc中import。

而原生会通过ro.hardware这个属性,来获取...

			
		

	





	

		

			

				
					
Android加密之文件级加密

				
			

			

				

					明日暘炚
				

				

					06-06
					
					4754
					
				

			

		

		

			
				
前置文章

《Android加密全盘加密》

《Android系统之System Server大纲》

前言

Android 的安全性问题一直备受关注,Google 在 Android 系统的安全方面也是一直没有停止过更新,努力做到更加安全的手机移动操作系统。

在 Android 的安全性方面,有很多模块:

内核安全性
	应用安全性
	应用签名
	身份验证
	Trusty TEE
	SELinux
	加密
	等等
其中,加密又分全盘加密Android 4.4 引入,《Android加密全盘加密

			
		

	





	

		

			

				
					
android核绑定cpuset配置与检测进程所在核cpuset方法

				
			

			

				

					漂流瓶の海岸
				

				

					08-18
					
					1812
					
				

			

		

		

			
				
抛开开机动画需要的audio、surfaceflinger等进程,大部分android程序是在/data分区加载完整以后开始加载。所以cpuset的配置可以在 post-fs-data之后。注意,init.rc的不同阶段脚本都可能覆盖前面配置的cpuset。配置好检查与预期不一致,则要配置被重置了。由于statsd是开机完成前加载的,所以第一次cpuset可能在0-5之间。我们以此可以判断开机时候配置的是否正常。可以看到top-app下活跃的进程。三、配置特定进程的cpuset。二、配置cpuset。

			
		

	





	

		

			

				
					
Android全盘加密

				
			

			

				

					07-27
				

			

		

		

			
				
Android全盘加密是一种安全功能,可以对存储在Android设备上的所有数据进行加密保护。这种加密方式会对设备的整个存储空间进行加密,包括操作系统、应用程序、用户数据等。当设备处于未锁定状态时,所有数据将会被解密并可被访问;而一旦设备被锁定,数据将会被重新加密以提供更高的安全性保护。

Android全盘加密使用的是高级加密标准(Advanced Encryption Standard,简称AES),该加密算法被认为是目前公认的最安全和最常用的对称加密算法之一。在设备的启动过程中,用户的解锁密码会被用来解密设备上的主密钥,从而实现对存储数据的访问控制。

值得注意的是,Android全盘加密并不会对网络通信进行加密,只是保护设备上的存储数据。如果你需要对网络通信进行加密保护,可以考虑使用其他安全措施,如使用HTTPS等。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值